Equipes de ProdSec, ou Segurança de Produto, estão se tornando cada dia mais populares, pela abordagem de segurança mais abrangente que adotam, em relação a ecossistemas que compõem produtos digitais.
Você certamente já está familiarizado, ou já ouviu falar, sobre Security by Design, graças a LGPD, ou mesmo conceitos como Shift-Left Security ou Baked-In Security. Seja qual for o conceito, empresas que desenvolvem produtos digitais devem entender que segurança deve ser considerada em todo o ciclo de vida de um produto e não tratada apenas sobre aplicativos individuais. Para atingir este objetivo, cada vez mais empresas estão adotando equipes dedicadas exclusivamente à segurança de produto como forma de realizar esta mudança de abordagem em relação a cybersec.
A segurança do produto expande o escopo da segurança de aplicativos (AppSec) tradicionais para muito além dos testes de vulnerabilidade. Domínios da defesa, colaboração entre grupos de negócios, design thinking, modelagem de ameaças, arquitetura e engenharia de software e gerenciamento de riscos aplicado ao produto são algumas das frentes de combate de ProdSec.
Ao participar ativamente de cada estágio do processo de desenvolvimento, a equipe de segurança do produto ajuda a incorporar considerações de segurança no design, arquitetura, codificação, teste e lançamento do software para produção. Esta abordagem proativa é inerente ao ciclo e vida do produto, e minimiza consideravelmente o risco de vulnerabilidades, garantindo que a segurança seja um aspecto integrante do produto final, em todas as suas versões.
AppSec x ProdSec
Embora AppSec e ProdSec compartilhem de um propósito em comum – ajudar uma organização a lançar e manter software seguro – o papel que cada função desempenha para atingir esse objetivo é diferente. A segurança da aplicação se concentra em testes, validação e no radar de tecnologias do projeto, enquanto a segurança do produto traz para o jogo as regras de negócios durante todo o SDLC (Software Development Life Cycle).
Indo mais fundo, enquanto a equipe responsável por AppSec se aprofunda em cada aplicativo individual, a segurança do produto tem uma visão mais ampla, de ponta a ponta, da segurança de toda a pilha que compõem um determinado produto.
Considere a ProSec como uma extensão da AppSec. A segurança de aplicativos concentra-se em proteger o código e a funcionalidade de um único aplicativo de software enquanto a segurança do produto tem uma visão holística de todo o produto tecnológico, considerando um ambiente mais amplo e os potenciais vetores de ataque que podem surgir das comunicações entre vários componentes.
Esse ambiente mais amplo pode incluir vários aplicativos ao mesmo tempo, componentes de hardware, infra estrutura, fluxos de comunicação, interfaces de usuário, serviços associados e etc. A segurança do produto avalia a postura de segurança de um produto à medida que são implantadas adições ao ecossistema.
Uma maneira de pensar na diferença entre AppSec e ProdSec é imaginar os aplicativos como pizzas em um restaurante. A segurança da aplicação é equivalente a examinar uma única pizza para ter certeza de ela parece segura e livre de contaminações antes de servi-la a alguém.
Entretanto, a segurança do produto é o processo de melhorar a forma como o restaurante faz as pizzas e as ferramentas que utiliza para garantir que cada pizza seja segura e saborosa. Para ProdSec, todo o processo de confecção da pizza importa. Desde a compra e armazenagem dos insumos passando pelo processo de cozimento do início ao fim e incluindo como elas são entregues ao consumidor final. A ideia de ProdSec é garantir que sejam implementadas as ações e os processos corretos em cada etapa, para garantir que toda e qualquer pizza tenha exatamente a composição correta, atenda às necessidades específicas de uma pizza e alcance os padrões necessários, sem nenhum tipo de intervenção indesejada.
A Ascensão da Segurança do Produto
O fato de a segurança do produto testar ganhando espaço não é, de forma alguma, uma negação das metodologias de testes tradicionais de segurança de aplicativos. ProdSec é o reconhecimento de que a entrega moderna de software precisa de um olhar diferente, além dos “escovadores de bits” dos testes de segurança de aplicativos tradicionais.
Ao reconhecer que aplicações não funcionam no vácuo, e tem todo um ambiente ao seu redor, (que pode ser explorado e é corruptível), a segurança do produto posiciona-se como referência para ajudar a observar as lacunas entre as aplicações individuais. Os membros de uma equipe de ProdSec também atuam como divulgadores da segurança de uma empresa, podendo ajudar a incutir fundamentos de segurança nos processos de desenvolvimento repetíveis e na “fábrica de software” que produz todo o código.
É de suma importância relembrar que a segurança do produto não substitui a segurança tradicional do aplicativo. A segurança de aplicativos continua, e sempre continuará, a desempenhar um papel importante na proteção de software, idealmente dentro de uma estrutura de segurança de produto bem coordenada.
Observe que a segurança do produto depende de práticas de segurança de aplicativos para limitar e reduzir vulnerabilidades dentro do aplicativo. Sem abordar as vulnerabilidades no nível do aplicativo, nenhuma quantidade de medidas de segurança adicionais em torno do produto pode garantir um padrão elevado de segurança.
ProdSec – Mãos a Obra
Implementar a segurança cibernética adequada para produtos digitais passa inicialmente por uma quebra de cultura e obrigatoriamente se relaciona intimamente com a arquitetura de software.
A quebra de cultura e o papel da arquitetura
O atrito cultural, entre segurança e engenharia, não é algo tão recente. Normalmente o time de engenharia está preocupado em entregar o melhor produto para os usuários finais e o time de segurança em mitigar todos os riscos que podem acabar com o negócio. Sim, evitar que um produto digital falhe, em termos de segurança, deveria ser objetivo comum, contudo o atrito cultural entre os times existe e deve ser levado em conta. Um primeiro passo, é aceitar que produtos digitais não são ilhas isoladas, que funcionam sozinhos ou com poucos componentes de infraestrutura. Deve-se lembrar que componentes que ficam “esquecidos” ou “escondidos” são passivos de vulnerabilidades de segurança. É justamente nestas lacunas onde o time de ProdSec precisa dedicar sua atenção.
Uma forma de tornar os componentes mais explícitos para todos, é através da arquitetura de software. Então, para ProdSec, arquitetura de software é a pedra fundamental onde a segurança de aplicações deve se apoiar, desde o início da concepção do produto. As decisões arquiteturais relacionadas aos componentes, suas responsabilidades e seus relacionamentos devem explicitar os estilos e padrões arquiteturais pensados para mitigar preocupações com escalabilidade, desempenho, segurança e modularidade. Neste processo de modelagem arquitetural a visão de alto nível de ProdSec deve ser refletida nas definições arquiteturais, mas para isso acontecer o time de ProdSec precisa ser parte fundamental do processo.
 | Um ataque cibernético (na grande maioria dos casos) não acontece instantaneamente, como nos filmes, onde se consegue um acesso privilegiado com dois ou três comandos no terminal. Um ataque bem sucedido é fruto de muito tempo investido em reconhecimento do alvo, e grandes doses de criatividade. Cada definição arquitetural reflete em um ponto de exploração para o atacante, que pode se reverter em uma vantagem. Um exemplo simples é o de uma aplicação desenvolvida usando todas as melhores práticas de desenvolvimento seguro, com bibliotecas checadas e homologadas e que é invadida facilmente por conta de uma vulnerabilidade no servidor web, ou em um API gateway externo. |
Segurança desde a Concepção
Agregar a palavra “segurança” a cada decisão tomada na construção de um produto digital é, sem dúvida, a chave para o sucesso. Terminologias como Security by Design, Baked-In Security e Shift-Left Security versam exatamente sobre trazer o tema segurança desde os estágios iniciais da concepção de produtos e aplicações.
Times de arquitetura e engenharia de software já trazem em seu DNA algumas preocupações de segurança, com um olhar crítico para tecnologias, ferramentas e saúde do código produzido. E isso é valioso e deve ser perpetrado e escalado cada vez mais.
Em cima desta prática de arquitetura, os times de ProdSec expandem o olhar de segurança, trazendo questionamentos referentes a tópicos como regras de negócio, desvios não esperados de comportamento por parte do usuário e integrações externas e internas do produto.
A grande ideia aqui é construir uma cultura proativa de segurança, prevendo e mitigando riscos antes mesmo deles terem a chance de existirem e serem explorados.
Esse olhar crítico, com uma visão de negócios, deve fazer parte de todo o ciclo de vida do produto, desde sua concepção até seu completo descarte, trazendo questionamentos práticos referentes a cada fluxo, atualização ou integração. Escolhas bem acertadas, em termos de segurança, feitas ainda nas fases de projeto iniciais, resultam em um produto mais maduro e resiliente, além de economizarem muitos dólares em retrabalho.
| Explorar o comportamento de uma aplicação frente a interações inesperadas é comportamento de praxe para um atacante. Algumas regras de negócio aplicadas a um produto, se arquitetadas de maneira descuidada, podem revelar informações que resultem em vantagens para um atacante. O mesmo vale para integrações do produto com ferramentas ou sistemas de terceiros, sejam internos ou externos, o que, se não forem bem arquitetadas, podem resultar em vulnerabilidades ou em ataques de supply-chain. |
Atingindo o Conceito de Resiliência Proativa
A resiliência proativa é um conceito que se refere à capacidade de uma organização de se adaptar e responder rapidamente a mudanças ou ameaças. No contexto de segurança, a resiliência proativa é a capacidade de uma organização se proteger de ataques cibernéticos e se recuperar rapidamente de incidentes de segurança.
A resiliência proativa é importante para o desenvolvimento de produtos e ecossistemas digitais, pois o ambiente cibernético onde reside o produto está em permanente exposição e sob mudanças e atualizações constantes.
Para implementar uma estratégia de resiliência proativa atrelada aos produtos digitais, as organizações devem adotar uma abordagem holística que considere todos os aspectos da segurança. Times de ProdSec encabeçam estas atividades dentro de diversos departamentos:
- Arquitetura de segurança: Como citamos anteriormente, as organizações devem projetar seus sistemas e produtos com segurança em mente, desde o principio. Isso inclui a implementação de controles de segurança adequados e a adoção de práticas de desenvolvimento seguro.
- Operações de segurança: As organizações devem implementar processos e procedimentos para monitorar e responder a ameaças. Isso inclui a implementação de ferramentas e sistemas de segurança, bem como o treinamento de funcionários sobre segurança cibernética.
- Resiliência e Disponibilidade: Desenvolver mecanismos e salvaguardas que, mesmo durante uma situação crítica de segurança, garanta que seu produto se mantenha disponível e operacional, além de garantir a segurança e a privacidade de seus clientes.
- Cultura de segurança: As organizações devem criar uma cultura de segurança que promova a conscientização e a responsabilidade em relação à segurança.
A resiliência proativa pode ser implementada por meio de uma série de práticas e medidas, incluindo:
- Implementação de controles de segurança em todo o ecossistema do produto digital
- Treinamento de funcionários sobre segurança cibernética.
- Monitoramento da cadeia de suprimentos para identificar e responder a ameaças.
- Implementação de uma estratégia de resposta a incidentes.
- Realização de exercícios de segurança para testar a resiliência da organização.
Alguns bons exemplos de como a resiliência proativa pode ser aplicada ao desenvolvimento de produtos e ecossistemas digitais:
- Uso de técnicas de engenharia de segurança para identificar e corrigir vulnerabilidades antes do lançamento de um produto.
- Implementação de mecanismos de defesa que possam mitigar o impacto de um ataque.
- Desenvolvimento de planos de continuidade de negócios para garantir que as operações possam continuar em caso de incidentes de segurança.
Como a EximiaCo pode lhe ajudar
Se a sua organização está considerando desenvolver um novo produto digital ou aprimorar um existente, confie em nossa Consultoria e Assessoria em Desenvolvimento de Produtos Digitais. Se, por outro lado, você já possui uma aplicação digital e deseja fortalecer a segurança de sua solução, explore nossos Serviços de Adoção de Processos Seguros.
